Сотрудники Cisco Talos нашли вирус, похищающий кэш и ключи шифрования Telegram

Специалисты по компьютерной безопасности из исследовательской компании Cisco Talos обнаружили вирус Telegrab, восстанавливающий файлы кэша и формата .map из десктопной версии Telegram.

Как это работает?

Если пользователь не завершает сессию, Telegrab восстанавливает файлы с защищенными паролем ключами шифрования. Потенциально они могут дать доступ к сеансу, контактам и переписке жертвы. Программа не использует уязвимости Telegram и с ее помощью нельзя взломать протоколы мессенджера, отметили в Cisco Talos.

Исследователи объяснили, что вирус атакует только десктоп-версию Telegram, поскольку она не поддерживает секретные чаты. Из-за этого в ней по умолчанию отключена функция автоматического завершения сессии.

Как можно использовать похищенные файлы?

По данным Talos, расшифровать информацию из кэша не получится. Вместе с тем специалисты не исключают, что можно получить доступ к локальным файлам из кэша с помощью «других программ». Они назвали угрозу Telegrab незначительной в сравнении с сетями ботов, созданными крупными киберпреступниками. Тем не менее, похищенные данные позволяют хакеру получить доступ к информации жертв на vk.com, yandex.com, gmail.com, google.com и других сайтах.

Кто создал вирус?

Сотрудники Cisco Talos считают, что Telegrab создал русскоговорящий хакер под псевдонимом Enot272, совершивший в апреле две атаки на мессенджер. В качестве жертв злоумышленник выбирает в основном русскоговорящих пользователей и намеренно избегает IP-адреса из России, связанные с анонимайзерами.

Представители Telegram не прокомментировали исследование Cisco Talos.

В декабре 2017 года специалисты компании enSilo представили новую технику внедрения кода Process Doppelgänging. Этот вид атаки неуловим для большей части современных антивирусных программ и представляет опасность для всех версий операционной системы Windows.